Varning för fallgropar!

Transkript

1 Stockholms Universitet Företagsekonomiska institutionen Magisteruppsats 10p VT 2006 Varning för fallgropar! Riktlinjer för tillämpningen av Koden utifrån implementeringen av SOX Författare: Linda Arfvidsson Sandra Robertsson Handledare: Docent Birgitta Olsson

2 SAMMANFATTNING Företagsskandalerna som till exempel Enron och Worldcom medförde att näringslivet i USA krävde strängare och tydligare redovisningsregler för företag. Resultatet av detta blev Sarbanes- Oxley Act, SOX, som lagstiftades år Lagen gäller för alla företag registrerade hos US Securities and Exchange Commission, SEC, vilken motsvarar Sveriges Finansinspektion. Detta inkluderar även dotterbolag vars moderbolag är registrerade. För Sveriges del påverkar detta ett tjugotal helägda svenska företag samt ett tusental dotterbolag. Även Sverige har drabbats av diverse företagsskandaler som kan ha kommit att påverka nuvarande lagar och rekommendationer. I juli 2005 infördes rekommendationen Svensk kod för bolagsstyrning, Koden, som företag på Stockholmsbörsens A-listan och en del företag på O-listan ska följa. Både SOX och Koden bygger på COSO-modellen vid tillämpandet av intern kontroll. Modellen är ett internationellt vedertaget ramverk som innehåller ett antal komponenter som företagen förväntas följa för att uppnå en bra intern kontroll. Dock är varken SOX eller Koden i sig särskilt detaljerad berörande avsnittet om intern kontroll. Detta skapar därför mycket tolkningsutrymme för vad en bra intern kontroll egentligen är. Utöver detta är revisorerna måna om att så mycket som möjligt ska granskas då de inte vill ge ett felaktigt utlåtande i sin revisionsberättelse. Detta har delvis sin grund i de krav organet Public Accounting Oversight Board, PCAOB, ställer på revisorerna. Syftet med uppsatsen är att utifrån implementeringen av SOX och då med fokus på intern kontroll enligt COSO-modellen, undersöka vilka fallgropar svenska företag bör undvika vid tillämpningen av Koden. Utifrån den empiriska undersökningen har vi som mål att ta fram ett antal riktlinjer för hur företag kan effektivisera arbetet med Koden. Undersökningen, som utgjordes av dels intervjuer och dels enkäter, resulterade i 6 stycken respondenter efter ett beräknat bortfall. De tillfrågade kan nu i efterhand peka ut ett antal faktorer som påverkat det omfattande SOX-arbetet och som med dagens kunskap skulle kunna ha hanterats annorlunda. Fallgroparna bestod av bl.a. av företagsledningens engagemang vid tillämpningen av lagen. Om inte ledningen inser vikten av lagen och dess betydelse blir det desto svårare för resten av organisationen att anamma den. I samband med detta är det viktigt att medarbetarna utbildas för att förstå syftet med lagen. Utgångspunkten med implementeringen har visat sig vara att företagen bör planera arbetet på grundligt sätt för att på ett smidigt sätt kunna tillämpa lagen utan att onödigt mycket resurser tas i anspråk. Företagen bör även ha COSOmodellen i baktanke men endast använda den som ett ramverk för annars finns det risk att tappa fokus och därmed koncentrera sig på detaljer istället för se till helheten. Detta medför även att antalet kontroller kan minimeras vilket även minskar dokumentationen som är den största delen av det ändrade arbetssättet med lagen. Företagen anser att ett logiskt helhetsperspektiv bör vara utgångspunkten med arbetet för att genomföra det så effektivt som möjligt. Fallgroparna kan tillämpas på arbete med Koden för att minimera kostnaderna och göra arbetet effektivare. Det sker först och främst genom att i ett tidigt skede planera implementeringsarbetet. Detta förhindrar att ett förhastat arbete genomförs. I planeringsfasen är det önskvärt att ledningen tar ansvar och visar organisationen hur pass betydelsefullt arbetet verkligen är. Arbetet leder trots allt även till en generellt bättre bolagsstyrning. Att sektion 404 om intern kontroll är den mest omfattande delen av SOX råder det ingen tvekan om bland respondenterna. Eftersom inga tydliga riktlinjer ges i lagen ökar risken för att alltför många och inte alltid nödvändiga kontroller utförs. Därför är en centralisering av arbetet essentiell för att utifrån en helhetssyn selektera ut de mest relevanta riskerna och kontrollerna i företaget. Även dokumentationen reduceras när antalet kontroller blir färre. Företagen bör inte koncentrera sig på att följa rekommendationen till punkt och pricka då de löper risk att tappa fokus på själva affärsverksamheten. Det är föredömligt om ledningen kan anamma Koden på ett sätt som genomsyrar hela verksamheten. Det är svårt att veta hur rekommendationen kommer att utvecklas men vi anser att de fallgropar som har tagits fram i studien är en god vägledning till företag som är i implementeringsfasen av Svensk kod för bolagsstyrning.

3 INNEHÅLLSFÖRTECKNING 1. INLEDANDE PRESENTATION BAKGRUND PROBLEMOMRÅDE SYFTE TILLVÄGAGÅNGSSÄTT DISPOSITION METOD INTRESSEOMRÅDE KVALITATIV METOD DATAINSAMLING Sekundär- och primärdata VAL AV RESPONDENTER INTERVJUFÖRFARANDE STUDIENS TILLFÖRLITLIGHET KÄLL- OCH METODKRITIK REFERENSRAM CORPORATE GOVERNANCE Den svenska bolagsstyrningsmodellen Agentteorin SARBANES-OXLEY ACT Tillämpningsområde PCAOB SOX:s huvuddelar SVENSK KOD FÖR BOLAGSSTYRNING Kodens syfte Ägarroll och ansvar Regler för bolagsstyrning COSO-MODELLEN Riskhantering IMPLEMENTERINGEN AV REGELVERKEN INTERN KONTROLL IMPLEMENTERINGEN AV SOX IMPLEMENTERINGEN AV KODEN KOPPLINGEN MELLAN REGELVERKEN EMPIRI RESPONDENTER COSO-MODELLEN INTERN KONTROLL FRÄMSTA FÖRÄNDRINGEN MED SOX VAD KUNDE HA GJORTS ANNORLUNDA? RESULTATET AV IMPLEMENTERINGEN ANALYS UTGÅNGSPUNKT FALLGROPAR MED SOX FALLGROPAR TILLÄMPBARA PÅ KODEN SLUTSATS SAMMANSTÄLLNING AV SLUTSATSER FÖRSLAG TILL FORTSATT FORSKNING KÄLLFÖRTECKNING... 43

4 Bilaga 1: Svenska företag registrerade hos SEC...I Bilaga 2: Intervjuguide... II Bilaga 3: Svar via mail Kristian Ackeby, Autoliv III Bilaga 4: Svar via mail Thomas Mattson, Preem V Bilaga 5: Intervju med Annika Kolmert, Concordia Bus VII Bilaga 6: Intervju med Christina Oldmar, TeliaSonera IX Bilaga 7: Intervju med Annika Olofsson, Ericsson XI Bilaga 8: Intervju med Monika Bandi, SKF XIII

5 1. INLEDANDE PRESENTATION Kapitlet inleds med en bakgrund som ger en förståelse för ämnet och följs av problembeskrivning som utmynnar i uppsatsens syfte. Avslutningsvis följer tillvägagångssättet för arbetet och upplägget på uppsatsen i en disposition Bakgrund De senaste årens företagsskandaler har skakat affärsvärlden och inneburit att intressenternas förtroende i företagen har försvagats. Den italienska livsmedelskoncernen Parmalat förfalskade bl.a. bankkorrespondens och fakturor samt upprättade skalbolag i diverse skatteparadis. (Dagens Industri, 2005) Även de amerikanska företagen Enron och Worldcom försattes i konkurs efter att ha gjort sig skyldiga till bedrägeri, konspiration samt förskönat bokföringen vilket blåste upp vinstsiffrorna (TT, 2005). Dessa skandaler har skapat en betydande etikdebatt i USA där intressenterna krävt strängare redovisningsregler för börsnoterade företag. (TT, 2006) Liknande krav har även uppkommit i Sverige efter bl. a. Skandiaskandalen där bedrägeri och oegentligheter också förekommit (Svenska Dagbladet, 2004, s.44) Efter företagsskandalerna i USA infördes nya amerikanska redovisningsregler som fick namnet Sarbanes-Oxley Act, SOX. Huvudsyftet enligt förespråkarna är att investerarnas förtroende för marknaden ska stärkas (Balans, 2005). SOX utformades år 2002 och är numera en lag för alla företag som är registrerade hos U.S. Securities and Exchange Commission, SEC, vilket motsvarar Sveriges Finansinspektion. Detta inkluderar även ett tjugotal helägda svenska företag. Även dotterbolag till amerikanska företag måste tillämpa lagen. Den interna kontrollen ligger i fokus där ledningen är ytterst ansvariga för alla händelser i bolaget. Reglerna kring den interna kontrollen är i sig inte särskilt detaljerade men dess tolkningar och vägledningar har gjort dem mycket omfattande och detaljrika där lite utrymme finns för eget initiativtagande. Lagen kräver även att företagen har en fungerande bokslutsprocess där varje ansvarsområde kan definieras och där personligt ansvar kan särskiljas. SOX innehåller mycket höga krav på dokumentation där inget får gå obemärkt förbi utan att skrivas ned samt att dokumenterade kontrollfunktioner finns i alla bolagets processer. (Dagens Industri, 2005) 1

6 De nya amerikanska reglerna har även influerat Sverige till att skapa skärptare regler. Den s.k. Kodgruppen med Erik Åsbrink i spetsen har nu utformat rekommendationen Svensk kod för bolagsstyrning, Koden, som infördes den 1 juli Koden är frivillig till skillnad från SOX och omfattar bolag noterade på börsens A-lista samt O-listan med ett marknadsvärde överstigande 3 miljarder kronor. (Balans, 2006) Koden följs av principen följ eller förklara vilket innebär att bolag kan avvika från reglerna men måste då ange en förklaring i årsredovisningen (SOU 2004:46, s.10-11). Liksom i SOX är intern kontroll ett av de viktigaste inslagen i Koden. Dock ges ingen utförlig vägledning i Koden om hur en fungerande intern kontroll bör vara utformad (Dagens Industri, 2004). Det avsnitt i Koden som behandlar intern kontroll beskriver endast att styrelsen årligen ska avge en rapport om bolagets interna kontroll över hur den finansiella rapporteringen är organiserad (FAR info, nr ). I årsredovisningen ska tydligt anges vilka rapporter som formellt granskats av revisorn samt vilka regelverk dessa rapporter är grundade på. Regeln kan ses som en varudeklaration där redovisningen ska ge säkerhet och trovärdighet för investerarna (Balans, 2005). Trots att Koden inte ger en direkt vägledning angående den interna kontrollen finns etablerade och vedertagna ramverk som både styrelsens rapportering samt revisorns granskning som företagen förutsätts utgå ifrån. Ett internationellt etablerat ramverk är The Committee of Sponsoring Organizations of Treadway Commission, COSO. (The Committee of Sponsoring Organizations of the Treadway Commission, webbplats) Både SOX och Kodens interna kontrolldel bygger till stor del på denna modell Problemområde Sarbanes-Oxley Act och Svensk kod för bolagsstyrning är båda till viss del en följd av tidigare bolagsskandaler som påverkat näringslivet internationellt. Den stora skillnaden mellan dessa är att SOX är lagstadgad och Koden endast en rekommendation. Vissa organisationer har tagit ansvaret för att standards har utformats. Bland annat har Public Company Accounting Oversight Board, PCAOB, som granskar revisorer utarbetat mallar för revisorer (Svenska Dagbladet, 2005, s.46). Revisorerna ställer därför i sin tur stora krav på företagen som de granskar. Denna syn på utvecklingen av regelverken kan anses vara konsultoch revisionsdriven vid en hårddragning. Problemet som kan uppstå utifrån detta kan vara att företag utför en mycket noggrann granskning utan att det egentligen inte anses vara riktigt 2

7 befogat. (Balans, 2005) Vägledningen som utformats för SOX kräver att varje område ska granskas in i minsta detalj. Denna detaljrika granskning kan leda till dubbelarbete då kontrollerna blir för omfattande och vilket gör det svårare att se helheten. Utifrån detta har inga klara riktlinjer upprättats utan stort utrymme för tolkning blir därmed ett faktum även vid tillämpningen av Koden. Implementeringen av SOX började under år 2004 och har varit otroligt kostsam och krävande. Lagen bygger på att varje område i redovisningen och förvaltningen ska detaljgranskas oberoende av varandra vilket kan leda till att det blir ineffektivt. En av de största delarna i implementeringen av SOX har visat sig vara sektionen om intern kontroll, 404. (Balans, 2005) Även debatten kring intern kontroll har tagit stor plats vid tillämpningen av Koden som skulle ske efter halvårskiftet FAR och Svenskt Näringsliv har givit ut en vägledning till hur implementeringen kan ske. I denna liksom i SOX finns angivet hur en granskning av den interna kontrollen kan se ut och vilket ansvar styrelsen respektive verkställande direktör har i den finansiella rapporteringen. Både Kodens och SOX:s angivelser för hur den interna kontrollen bör genomföras bygger på COSO-modellen som har utvecklats till att bli en internationellt vedertagen modell. (FAR, Svenskt Näringsliv, 2005) Modellen innehåller fem komponenter inom internkontroll som alla måste uppnås om kontrollen ska anses vara acceptabel (COSO, 2005). Modellen är mycket teoretisk och detaljerad vilket utgör den till en användbar modell. Dock måste det ifrågasättas om företagen har möjlighet och resurser till att tillämpa modellen fullt ut utifrån de anspråk SOX och Koden har kommit att ställa. Eftersom Koden inte har samma strikta riktlinjer som SOX-implementeringen har kommit att innehålla kan det leda till att rekommendationen formas efter regelverket. Flera anledningar kan ligga bakom detta. Dels har Sverige inte haft något direkt praxis huruvida intern kontroll bör se ut i näringslivet vilket kan göra det svårt att veta hur den bör utformas. Dels är det en fördel om Koden liknar SOX eftersom det lättare kan locka utländska investerare att gå in på den svenska marknaden. Det har ännu inte publicerats några direkta utvärderingar av hur svenska företag har upplevt implementeringen av SOX. Problemet kan då här bli att tillämpningen av Koden utformas efter praxis av lagen utan att det utvärderas till ett idealiskt tillvägagångssätt för bolagsstyrning. Det blir därför intressant att ta reda på hur tillämpningen av SOX har utförts och vad som inte visat sig varit effektivt. Då tänkbarheten finns att företagen använder sig av hur lagen implementerats måste det finnas en del fallgropar som de kan undvika när de implementerar Koden. Eftersom den interna kontrollen är en mycket stor 3

8 del är en annan intressant aspekt att se hur kontrollerna inom den sektionen har genomförts. Denna utvärdering av lagen kan sedan appliceras på hur den svenska rekommendationen kan genomföras på ett så föredömligt sätt som möjligt. Utifrån detta har följande frågeställningar formulerats: Varför skapar sektion 404 om intern kontroll merarbete vid implementeringen av SOX? Hur arbetar företagen med COSO-modellen i arbetet med intern kontroll? Vad har varit effektivt respektive ineffektivt med implementeringen av SOX samt vad hade kunnat göras annorlunda? Hur är dessa frågeställningar tillämpbara på arbetet med Koden? 1.3. Syfte Syftet med uppsatsen är att utifrån implementeringen av Sarbanes-Oxley Act och med fokus på intern kontroll enligt COSO-modellen, undersöka vilka fallgropar svenska företag bör undvika vid tillämpningen av Svensk kod för bolagsstyrning. Utifrån den empiriska undersökningen vill vi ta fram ett antal riktlinjer hur arbetet med Koden kan göras effektivt Tillvägagångssätt Vi har för avsikt att studera implementeringen av Sarbanes-Oxley Act och analysera vad som kan undvikas vid tillämpningen av Svensk kod för bolagsstyrning. I den empiriska undersökningen granskas endast företag som tillämpar SOX. Denna avgränsning har gjorts för att vi sedan ska analysera hur resultatet av detta kan komma att bli tillämpbart på Svensk kod för bolagsstyrning. Det är även ett faktum att tillämpningen av Koden inte har kommit lika långt då resultatet inte behöver redovisas förrän inför bokslutet per Vi antar att implementeringen av SOX har kommit så pass långt att det går att utkristallisera vissa fallgropar. Ytterligare en avgränsning har varit att endast titta på svenska företag som måste tillämpa SOX då vi både har varit i kontakt med helägda svenska företag men även dotterbolag till utländska företag. Det blir i och med detta en mer väsentlig jämförelse med företag som tillämpar Koden. Vi har endast resurser till att träffa företag som verkar i Stockholmsområdet. Övriga respondenter har kontaktats via telefon eller genom ett djupgående frågeformulär. 4

9 1.5. Disposition Kapitel 1. Inledande presentation Uppsatsen inleds med att beskriva aktuella problem rörande området vilket slutligen mynnar ut i uppsatsens syfte. Kapitel 2. Metod Metodkapitlet beskriver vårt tillvägagångssätt med arbetet av uppsatsen för att kunna uppfylla syftet samt att generera den information som krävs. Kapitel 3. Referensram Avsnittet behandlar aktuella teorier som berör uppsatsen syfte som exempelvis Sarbanes-Oxley Act och Svensk kod för bolagsstyrning. Denna referensram ligger till grund till för vad som presenteras i efterföljande kapitel. Kapitel 4. Implementeringen av regelverken Här diskuteras inledningsvis intern kontroll internationellt sett samt hur det fungerar i Sverige. Därefter presenteras arbetet med implementeringen av de båda regelverken utifrån redan existerande källor. Kapitel 5. Empiri Den empiriska undersökningen finns sammanställd i detta kapitel med utgångspunkt i de frågeställningar som utgör problemdiskussionen och syftet. Kapitel 6. Analys I detta kapitel knyts referensramen samman med empirin. Det vi vill åstadkomma i detta avsnitt är att föra en analytisk diskussion med utgångspunkt i undersökningen utifrån de fakta som vi presenterat. Kapitel 7. Slutsats Här uppvisas de riktlinjer vi tagit fram om hur arbetet med tillämpningen av Koden kan göras effektivare utan att onödiga resurser tas i anspråk. Slutsatserna grundar sig på analysen samt utifrån tidigare kapitel. 5

10 2. METOD Metodkapitlet beskriver hur strukturen för uppsatsen är upplagd med början i hur vi valt ämnesområde samt hur informationsinsamlingen har gått till. Därefter följer hur informationen har bearbetats samt vad den har mynnat ut i vilket slutligen följs av källkritik Intresseområde Sarbanes-Oxley Act har under den senaste tiden blivit väldigt uppmärksammad som en följd av ett antal omtalade företagsskandaler. Eftersom en rad svenska företag genom registrering hos U.S. Securities and Exchange Commission också måste tillämpa lagen har det varit även varit av intresse att sätta sig in i vad lagen betyder och kräver. Även Svensk kod för bolagsstyrning har fångat vårt intresse eftersom den infördes förra året och i viss mån bygger på SOX. Vår utgångspunkt med denna uppsats var att skriva om både SOX och Koden. Vi kontaktade ett antal personer på en stor revisionsbyrå för att få tips om lämpliga infallsvinklar på ämnet. Efter ett möte med revisorn Ingemar Lock på Ernst & Young fick vi tips på hur vi kunde skriva om de båda områdena utan att uppsatsen blev en ren teoretisk jämförelse. Resultatet utav detta utmynnade att undersöka om företagen stött på fallgropar under implementeringen av SOX som möjligtvis kan undvikas vid tillämpningen av Koden Kvalitativ metod Vi har använt oss av en kvalitativ metod eftersom detta tillvägagångssätt ger en djupare förståelse av problemet som undersöks. Fördelar med denna typ av datagenerering är att en helhetsbild lättare kan utkristalliseras. Det kan även bidra till en bättre uppfattning om ämnet. (Holme, Solvang, 1997, s.75 ff.) Detta hade inte varit möjligt vid en kvantitativ metod. En sådan metod kräver även färdiga svarsalternativ för respondenten vilket var svårt för oss att ge då vi inte visste hur företagen praktiskt arbetade med implementeringen av SOX. Vi ville istället ha så öppna och djupgående frågor som möjligt för att få respondenterna att fritt berätta om arbetet och deras åsikter om SOX. Nackdelen med en kvalitativ metod är risken att tappa fokus under intervjun. Det är lätt att hamna på sidospår och diskutera andra delar av området som inte är aktuellt för syftet. Dock har denna metod varit det bästa alternativet för vår uppsats för att just få en större förståelse för hur lagen påverkar svenska företag och deras 6

11 dagliga arbete. Eventuella utsvävningar från de ursprungliga frågorna har bidragit till en bredare och mer djupgående undersökning Datainsamling Utgångspunkten för datainsamlingen var att öka våra kunskaper om både SOX och Koden dels genom att studera lagen och rekommendationen i sig men även genom artiklar som publicerats om de båda. Utifrån detta gavs en möjlighet att ta till sig dels kritik mot lagen och rekommendationen men även positiva resultat som följer av implementeringen. Allt eftersom insamlingen av data fortlöp har vi kritiskt granskat och selekterat ut det material vi anser vara relevant för just vårt syfte för att för att få en sammanhängande och intressant uppsats. (Davidsson, Patel, 1994) Sekundär- och primärdata Utgångspunkten för att sätta oss in i ämnet var att studera sekundärdata och därmed skaffa oss kunskaper om lagen och rekommendationen. Dessa källor är framtagna för att syfta till studiens problemställning (Lundahl, Skärvad, 1999, s.131 ff.). Vi tog del av publicerade artiklar genom att främst använda oss av Stockholms universitets databaser. Information om SOX fick vi framförallt fram genom engelska vetenskapliga artiklar medan artiklar om Koden uteslutande gick att finna på svenska. Vi har även använt oss av Internet, däribland några av de större revisionsbyråernas hemsidor för att ta del av deras kommentarer och kunskap om både lagen och rekommendationen. Eftersom SOX är någorlunda komplex och framförallt omfattande har vi besökt ett antal hemsidor dels för forum om lagen och dels hemsidor för de olika organ som är viktiga när man talar om lagen. Information om COSO-modellen har genererats från olika håll för att få så många olika vinklar på området som möjligt. Dock har webbplatsen för The Committee of Sponsoring Organizations of Treadway Commission, COSO, varit en stor och viktig informationskälla. Ändamålet med sekundärdatan är främst att ge läsaren en uppfattning till vad som senare presenteras i underökningen. Alla delar i referensramen behandlas inte ingående i senare kapitel utan skapar en grund till förståelsen med arbetet i helhet. Primärdata är en förstahandskälla (Holme, Solvang, 1997, s.132) och vi valde att använda oss av intervjuer, telefonintervjuer och enkäter. Dessa typer av primärdata eller en kombination 7

12 av dessa är dominerande (Eriksson, Wiedersheim, 1999, s.84). Vi valde denna utgångspunkt för att utifrån hur företagen upplever implementeringen av SOX kunna analysera arbetets fallgropar. Vi gjorde sedan en analys av hur dessa fallgropar kan påverka arbetet med att tillämpa Koden. Vid intervjutillfällena har vi fått möjlighet att gå in mer på djupet medan enkäterna har bidragit med kompletterande information. Frågorna i de respektive metoderna är direkt hänförbara till uppsatsens syfte och går att analysera utifrån den frågeställning som är ställd. Kombinationen av sekundär- och primärdata har givit oss en ordentlig plattform för att kunna göra en analys som både känns trovärdig och relevant. De båda måste finnas för att ge läsaren en teoretisk förståelse för att sedan leda in på analysen av det empiriska materialet som mynnar ut i en slutsats utifrån uppsatsens syfte Val av respondenter Eftersom vår utgångspunkt är att ta fram fallgropar med implementeringen av SOX hade vi endast för avsikt att intervjua företag som måste tillämpa lagen. Vi var framförallt intresserade av helägda svenska företag som är registrerade hos SEC. Vi ville veta hur lagen påverkar svenska företag för att därefter kunna se om fallgroparna går att undvika vid tillämpningen av Koden för de företag som måste tillämpa rekommendationen. Dock återfinns empiriskt material från ett dotterbolag eftersom vi fann det relativt svårt att få stora internationella företag att ha tid att ställa upp. Det är ett cirka tjugotal svenska företag som är registrerade hos SEC och utifrån dessa utgick vi från ett totalurval. Anledningen till detta var att vi räknade med att alla företag inte skulle ha tid eller möjlighet att ställa upp på en intervju. Resultatet av urvalet gav ett beräknat bortfall. Allt eftersom intervjuerna fortlöpte uppnådde vi en mättnadskänsla på de svar vi erhöll. Detta resulterade i att vi slutligen nöjde oss med sex respondenter. Fler respondenter hade troligen givit mycket liknande svar vilket inte hade bidragit till utvecklingen av uppsatsen. Resultatet av intervjuerna presenteras i kapitel 5 som en sammanställning av de olika respondenternas ståndpunkter. 8

13 2.5. Intervjuförfarande Eftersom vi kontaktade ett tjugotal företag som var aktuella för den empiriska undersökningen valde vi från början att använda oss av enkäter med relativt öppna frågor. Detta medförde dock två problem. Först och främst insåg vi att frågorna var av för teoretisk karaktär vilket gjorde det svårt för företagen att svara på frågorna utan vidare förklaring och följdfrågor. Detta medförde även att några företag ansåg att det skulle ta avsevärt lång tid att svara på dem. Vi ändrade därför riktlinje och bestämde istället träff med ett antal av företagen. Vi använde oss av frågeformuläret som utgångspunkt och underlag för intervjuerna men följde inte det slaviskt. Istället diskuterade vi kring ämnet och hur företagen har arbetat med implementeringen av SOX. Genom intervjuerna fick vi möjlighet att ställa följdfrågor samt frågor vi tidigare inte tänkt på vilket inte skulle vara möjligt genom enkäten. Allteftersom intervjuerna fortskred modifierade vi frågorna för att de skulle bli så användbara och informationsuttömmande som möjligt. Två företag har svarat på den öppna enkäten via elektronisk post enligt deras önskemål. Detta har skett i de fall det geografiska läget har varit ohanterbart. Denna information har varit av varierande utförlighet men vi har sett det mest som ett komplement till de intervjuades ställningstagande. Respondenterna har i många fall svarat likartat oavsett intervjuer eller enkäter. En skillnad som kan utmärkas är att svaren i enkäterna har varit mer komprimerande. Intervjuerna har utförts med en person som är ansvarig för arbetet med SOX eller personer som ingår i det centrala projektteamet. Vi har båda antecknat under tiden för att få så rättvisande information som möjligt. Denna har vi sedan renskrivit tillsammans snarast efter avklarad intervju för att inte förlora värdefull upplysning. Vi har arbetat enligt denna metod tidigare och vi anser att det är ett relativt lätt och tidseffektivt sätt att arbeta som ändå genererar en komplett information. Enkäterna har skickats via elektronisk post då ett antal respondenter som svarade fort ansåg att det var en effektiv och snabb metod. Vi har även smidigt kunna kontakta de tillfrågade för eventuella följdfrågor Studiens tillförlitlighet Uppsatsen tillförlitlighet avgörs huruvida informationen är reliabel och valid. Begreppen innebär dels huruvida undersökningen ger samma resultat om den utförs vid flera tillfällen och dels vilken grad det material som insamlats mäter det som avses att mäta (Bryman, 2001, 9

14 ; Eriksson, 1999, s.38). Vi har utifrån den empiriska undersökningen fått fram de svar som önskats för att kunna uppfylla vårt syfte med uppsatsen. Detta innebär att resultatet av undersökningen överensstämmer med vad vi ursprungligen hade i åtanke att undersöka vilket betyder att företagen har besvarat de frågor och funderingar vi haft om arbetet med implementeringen. Vi kan i och med detta påstå att vår undersökning är tillräckligt valid. Det är svårt att dra generella slutsatser eftersom vi inte utfört en totalundersökning utan endast haft 6 respondenter utav ett tjugotal. Utifrån de sex svaren kan vi dock dra ett antal slutsatser eftersom svaren vi erhållit varit likartade. Eventuellt har tidpunkten för vår undersökning viss betydelse för de svar vi fått beroende på i vilket skede företagen befinner sig i vid arbetet med lagen. Om några år kanske företagen har helt andra åsikter om vad som kunde ha gjorts annorlunda under implementeringen p.g.a. faktorer som uppstår efterhand Käll- och metodkritik Källkritik är en urvalsmetod där forskaren bedömer det material som samlats in genom att rensa bort det som inte är bra och behålla det som anses vara acceptabelt och till användning för undersökningen (Eriksson, 1999, s.151). De källor som använts i uppsatsen har varit vedertaget material som vi anser har en pålitlig grund. Vi har under arbetets gång kontinuerligt återkopplat informationen som erhållits till uppsatsens syfte. Visst material kan dock vara subjektivt, vilket vi är medvetna om, och vi har därför använt oss av flera källor för att det ska bli mer trovärdigt. Det finns även möjlighet att viss subjektivitet förekommit i vår selektering av de fakta som lyfts fram både när det gäller referensramen samt den empiriska undersökningen. Detta med anledning av viss information som vi vill lyfta fram som relaterar till syftet. Metodkritik granskar den metod författaren använt i arbetet och bör vara så anpassad som möjligt för studiens ändamål (ibid). Uppsatsens metod har övervägts och förfinats under hela arbetet allteftersom den empiriska informationen har inhämtats. Den främsta anledningen till detta är att vi ändrade vår utgångspunkt från att endast använda enkäter till att kombinera detta med intervjuer för att få möjlighet till en större förståelse för området och de problem vi diskuterar. 10

15 3. REFERENSRAM Denna del av uppsatsen behandlar den teoretiska referensramen. Vi inleder med att beskriva om bolagsstyrning i stort för att sedan gå in på mer specifika regler och rekommendationer inom Sarbanes-Oxley Act och Svensk kod för bolagsstyrning. Kapitel avslutas med COSO-modellens infallsvinkel på intern kontroll Corporate Governance Corporate governance är det internationella namnet på vad vi i Sverige kallar för bolagsstyrning. Det skiljer sig väsentligt beroende på i vilken del av världen man befinner sig. Den kontinentala modellen med Europa och främst Tyskland i spetsen kommer ursprungligen från civilrätten och är baserad på regler och nedskrivna lagar. Den har en mer koncentrerad ägarstruktur. Den angloamerikanska modellen där England har varit ledande är däremot byggd på sedvänja och praxis. Där är å andra sidan ägarstrukturen mer utspridd. Det skiljer även i det avseende att på den angloamerikanska marknaden finns fler offentliga uppköpserbjudanden, detta förekommer knappt i de kontinentala länderna. En ytterligare viktig skillnad är att den angloamerikanska modellen har bolagsstämman som högst beslutande organ medan stämman i den kontinentala modellen har ytterst begränsat inflytande. (SOU 2004:46, s.11-13; Smith, s.67 ff.) Den grundliggande strukturen påverkar i stor grad hur lagar och regler utformas i respektive land Den svenska bolagsstyrningsmodellen Bolagsstyrning handlar främst om att bolag ska drivas i ägarnas intresse. Detta har blivit en allt mer viktig del särskilt i marknadsnoterade bolag där ägarna inte har möjlighet att vara med i ledningen av bolaget. Svensk bolagsstyrning bygger på tre olika områden, dessa är lagar, självreglering och praxis. De lagar som framför allt används är Aktiebolagslagen, Bokföringslagen samt Årsredovisningslagen. Den svenska modellen kan anses ligga mellan den angloamerikanska och kontinentaleuropeiska modellen (SOU 2004:46, s.13). Modellen för hur bolagsstyrning ser ut i Sverige innehar fyra olika intressenter som sammanstrålar i bolagsstämman. Dessa är ägare, styrelse, verkställande direktör samt företagets externa revisorer. Bolagsstämman är det högsta beslutande organet i bolaget. Stämman hålls minst en gång om året då det beslutas om styrelseledamöter, ansvarsfrihet till företagsledning etc. 11

16 Företagets styrelse verkar främst för att se till att intressena efterlevs. Styrelsen har befogenhet att genomföra detta självständigt men stämman är ytterst ansvarig och kan avsätta ledamöterna på en extra bolagsstämma. Den verkställande direktören är tillsatt av styrelsen för att sköta den löpande förvaltningen av bolaget. (ABL, 8:3-4) Revisorerna har till uppgift att granska bolagets finansiella rapporter samt att kontrollera ledningens förvaltning. Dessa är externa och ska vara oberoende. Främsta syftet är att rapportera till ägarna men även till att ge styrelsen information om hur den verkställande direktören förvaltat bolaget. (ABL 10:3; Kollegiet för svensk bolagsstyrning, webbplats) Figur 1: Kollegiet för svensk bolagsstyrning, webbplats Agentteorin Utgångspunkten i agentteorin är att aktörerna är rationella och nyttomaximerande. Teorin fokuserar på aktörer inom redovisningsområdet och utgörs av s.k. agenter och principaler. Relationerna är ofta konfliktartade där agenterna agerar på bekostnad av principalerna för att öka sin egen nytta. Exempelvis väljer agenten, t.ex. företaget, en redovisningsmetod som förväntas ge högre vinst om dennes ersättning på något vis relaterar till vinstnivån. (Artsberg, 2005, s.84) Principalen, t.ex. aktieägarna, är endast intresserade av de finansiella avkastningarna som uppkommer genom deras investeringar i företaget (Anthony, Govindarajan, 2001, s.523). För att undvika att agenten agerar i strid mot principalens intressen har revisorn, som väljs på företagets bolagsstämma, till uppgift att kontrollera agenten för principalens räkning. Principalen använder sig av redovisningsinformation för att själv kunna kontrollera att agenten uppnår verksamhetens mål. När revisorn tillsätts ingår denne ett kontrakt med bolagets ägare och innebär att revisorn ska granska företagets redovisning och förvaltning. 12

17 Revisorn har en viktig roll i agentteorin då den främsta uppgiften är att granska agentens tillförlitlighet. Detta utgör i sin tur en bas för principalens kontrakt med andra agenter. (Macintosh, 2003) Revisor Agenten (bolagets ledning) Principalen (aktieägarna) Figur 2: Egen Agentteorin utgör grunden för bolagsstyrning då ägande och ledning skiljs åt i större börsnoterade bolag. Spritt ägande kan leda till att företagen tappar fokus på att leda bolaget i enlighet med ägarnas intresse. Detta beror på ledningen och ägarna ofta har spridda intressen med tanken på risktagande och ersättning. Bolagsstyrning handlar i grund och botten om att driva företag, som inte leds av sina ägare, med deras ägares intressen i fokus. (Balans, 2006) 3.2. Sarbanes-Oxley Act Till följd av de mycket omtalade redovisningsskandalerna i USA arbetade Paul Sarbanes och Mike Oxley fram en lag som president George Bush skrev under den 30 juli Lagen kom att kallas Sarbanes-Oxley Act, SOX, och anses vara den mest betydande reformen sedan 1930 enligt William Donaldson som är ordförande för US Securities and Exchange Commission, SEC. 1 (Stephens, 2005, s.98-99) Syftet med lagen är: "to protect investors by improving the accuracy and reliability of corporate disclosures made pursuant to the securities laws". (The Sarbanes-Oxley Act Community Forum, webbplats) 1 SEC är USA:s motsvarighet till Finansinspektionen i Sverige och ska enligt SOX utfärda tillämpningsföreskrifter för en del av lagens bestämmelser. (Balans, 2003) SEC:s främsta syfte är att skydda investerare, upprätthålla rättvisa, ordning och effektiva marknaden samt att möjliggöra anskaffning av kapital. (U.S. Securities and Exchange Commission, webbplats) 13

18 Lagen innebär en förändring inom ramen av bolagsstyrning, däribland verkställande direktörers och ekonomichefernas ansvars, reglering av revisionsbolag som reviderar börsnoterade företag samt företagens rapportering och tillämpning av redovisningsregler. (Lander, 2002, s.44) Tillämpningsområde SOX tillämpningsområde är vidsträckt då alla företag som är registrerade hos U.S. Securities and Exchange Commission, SEC, måste tillämpa lagen. Förutom amerikanska aktiebolag gäller detta även för icke-amerikanska företag som antingen är noterade på någon amerikansk börs eller är dotterbolag till ett börsnoterat amerikanskt företag. För Sveriges del innebär detta att ett tjugotal helägda svenska bolag som är registrerade hos SEC och ca svenska dotterbolag till utländska SEC-registrerade bolag tillämpar SOX (se bilaga 1). (Balans, 2003) Lagen tillämpades av amerikanska företag för första gången år 2004 (Dittmar, Wagner, 2006, s.133) medan SEC har givit europeiska bolag tidsfrist eftersom bolagen utöver SOX har haft fullt upp med att anpassa sig till nya IFRS redovisningsregler. Det är framför allt de omfattande reglerna om intern kontroll som tidsfristen gäller. SEC påpekade dock i samband med detta beslut att företagen inte bör lägga uppbyggnaden av den interna kontrollen på is utan istället förbättra kvaliteten. (Dagens Industri, 2005) Reglerna om intern kontroll måste tillämpas från och med den 15 juli i år, 2006, vilket ger en tidsfrist på ett år då reglerna ursprungligen skulle ha tillämpats den 15 juli 2005 (Svenska Dagbladet, 2005, s.56) PCAOB I samband med SOX infördes tillsynsorganet Public Company Accounting Oversight Board, PCAOB, vilken är en oberoende och icke-vinstdrivande organisation vars främsta syfte är att övervaka externa revisorer. (Public Company Accounting Oversight Board, webbplats) Myndigheten ansvarar för den skärpta kontrollen av bolag som är registrerade vid Finansinspektionen SEC. (Svenska Dagbladet, 2005, s.50) PCAOB har rätt att granska redovisning som förefaller innehålla antingen fusk eller vilseledande uppgifter. Påföljden utav detta är att myndigheten kan utfärda straff för revisorer som inte skött sina uppdrag. (TT Nyhetsbanken, 2003) Nämndens huvudsakliga uppgifter är: 14

19 Nämnden skall, efter ansökan, registrera de revisionsbyråer som upprättar eller bistår vid upprättandet av revisionsberättelser i emittenter, Nämnden skall upprätta och anta standarder och regler beträffande revision, kvalitetskontroll, etik och oberoende vid upprättande av revisionsberättelser Nämnden skall utföra inspektioner av registrerade revisionsbyråer Nämnden ska främja hög professionell standard rörande revisorer och revisionsrapporter Nämnden ska i övrigt upprätthålla efterlevnaden av SOX och de nya regler som utfärdats med stöd av lagstiftningen. (Balans, 2003) Förutom börsnoterade amerikanska revisionsbyråer måste även utländska revisionsbyråer vars klienter är registrerade hos SEC registrera sig hos PCAOB vilket innebär att de därmed blir kontrollerade av nämnden. De revisionsbyråer som inte direkt reviderar ett företag som tillämpar SOX utan endast spelar en viktig roll i förberedandet och utfärdandet av revisionsrapporter ska behandlas som en revisionsbyrå registrerat hos PCAOB. (Sarbanes- Oxley Act, 2002, sektion 106) SOX:s huvuddelar Syftet med SOX är att förstärka investerarnas sviktande förtroende för näringslivet samt att garantera att innehållet i de finansiella rapporterna samt övrig information i årsredovisningen är korrekt och stämmer överens med verkligheten. Detta ska ske genom fyra huvudsakliga åtgärder:! Strängare krav på redovisning och information till aktiemarknaden,! Högre krav på revisorers oberoende och professionalism,! Krav på interna strukturer för revision och informationslämning till marknaden,! Stränga straff för brott mot lagen. (Balans, 2003) SOX är indelat i elva delar och består delvis av nya standarder och delvis att ändringar i tidigare lagar. De viktigaste delarna följer nedan: 15

20 Bolagens ansvar och skyldigheter 2 Verkställande direktör samt ekonomichefer måste intyga att företagens årsredovisning och kvartalsrapporter är korrekta och inte vilseledande. Därmed ska de varje år bifoga ett intyg som styrker att de finansiella rapporterna uppfyller de krav som ställs av The Exchange Act och att informationen ger en rättvisande bild av företagens finansiella ställning. Verkställande direktörer och ekonomicheferna är även ansvariga för att bygga upp och underhålla den interna kontrollen i företagen. (Lander, 2002, s.44-47) Revisorns oberoende och reglering 3 SOX innehåller nya standarder för avgörandet om revisorns oberoende. För att upprätthålla oberoendet är det enligt en ny standard förbjudet för revisionsbyråer att erbjuda konsulttjänster till företag de redan reviderar. Skattefrågor är tillåtet till skillnad från bokföring och andra tjänster relaterade till redovisnings- och finansiella rapporter, outsourcing av internrevisionstjänster samt management- eller personalfrågor etc. Ytterligare en standard för att upprätthålla revisorernas oberoende innebär att de endast får vara tillsatta på fem år. Som nämnts ovan infördes även det nya tillsynsorganet PCAOB i samband med lagstiftningen vars främsta syfte är att kontrollera externa revisorer, däribland dess oberoende. (Lander, 2002, s.44,47) Intern kontroll 4 Den mest omfattande och krävande delen av SOX berör företagens uppbyggnad av intern kontroll. (Dagens Industri, 2005) Dock är denna sektion i lagen inte så utförlig men däremot har rekommendationen om hur den bör följas utvecklats till att bli omfattande. Enligt sektion 404 är det verkställande direktör och ekonomichef som är ytterst ansvarig för upprättandet av en välfungerande intern kontroll samt tillvägagångssättet för finansiell rapportering. De ska presentera sina slutsatser i en rapport om hur pass effektiv den interna kontrollen i företaget är. Revisorn måste i sin tur testa företagens struktur och förfarande med dess interna kontroll. (Sarbanes-Oxley Act, sektion 404) För att kunna säkerställa den interna kontrollen sätts ett antal kontrollpunkter upp. Det innebär ett mycket stort arbete för alla kontrollerna ska testas och dokumenteras. Denna dokumentering kräver mycket resurser och ett strukturerat system. (Ericson, 2006) 2 Corporate Responsibility 3 Auditor Independence and Regulation of Auditors 4 Internal Control 16

21 Kriminellt beteende och dess påföljder 5 Verkställande direktörer och ekonomichefer ska, som nämnts ovan, bifoga ett utlåtande om de finansiella rapporterna där de intygar att dels rapporterna till fullo överensstämmer med reglerna som gäller och dels att dess information ger en rättvisande bild över företagens ställning. Om de medvetet ger ett felaktigt utlåtande kan det ge påföljder som böter upp till fem miljoner dollar och fängelse upp till 20 år. Detta gäller alla börsnoterade företag som därmed är registrerade hos SEC. (Lander, 2002, s.51) Övriga bestämmelser 6 SOX skyddar s.k. Whistle-blowers dvs. anställda på börsnoterade bolag som upptäcker oegentligheter såsom bedrägeri eller felaktig redovisning. Inget företag har numera rätt att avskeda, suspendera, hota och trakassera eller på annat sätt diskriminera en anställd som tillhandahåller information och deltar i en undersökning rörande påkomna oegentligheter. Om en anställd skulle utsättas för något av ovanstående har denne rätt att stämma företaget inom 90 dagar från det av trakasserierna eller avskedandet skedde. (Lander, 2002, s.50) 3.3. Svensk kod för bolagsstyrning Svensk kod för bolagsstyrning, Koden, har utvecklats efter ett antal år av fokusering på corporate governancefrågor. Även den svenska Aktiebolagslagen har uppdaterats för att fokusera ytterligare på frågor rörande detta. Utvecklarna av Koden är den s.k. Kodgruppen som består av Förtroende kommissionen och ett antal organ inom näringslivet. 7 Kodgruppens förslag på Svensk kod för bolagsstyrning har remissbehandlats där totalt 78 remissyttranden har inkommit och sedan bearbetats. (SOU 2004:130) Tillämpningen av Koden skulle ske senast inför bolagsstämmorna för 2006, dock angav Kodgruppen att det var idealiskt om detta skedde så snart som möjligt efter juli 2005 (Balans, 2006). Den interna kontrollen måste granskas av företagets revisor först vid bokslutet för 2006 (FAR info, nr ) Följande avsnitt är hämtat från rekommendationen, Svensk kod för bolagsstyrning (SOU 2004:46, 2004:130). 5 Criminalization of Misconduct, Penalties and Statutes of Limitations 6 Other Provisions 7 FAR, Näringslivets Börskommitté, Stockholmsbörsen, Stockholms Handelskammare, Svenska Bankföreningen, Svenska Fondhandlareföreningen, Svenskt Näringsliv, Sveriges Aktiesparares riksförbund och Sveriges Försäkringsförbund. 17

22 Kodens syfte Bolagskodens syfte är huvudsakligen att förbättra svensk bolagsstyrning. Genom att införa Koden kan praxis inom bolagsstyrning bildas och en förbättring av denna kan ske. Koden ska till en början tillämpas av bolag som är noterade på Stockholmsbörsens A-lista samt bolag på O-listan som har ett marknadsvärde som överstiger tre miljarder kronor. Dock kan det anses relevant att även mindre bolag med spritt ägarintresse samt kooperativ tillämpar Koden för att skapa en större tilltro hos ägarna. Avsikten med Koden är att en självreglering bildas och att ett övergripande syfte i sin tur blir att bolagsstyrningen förbättras. Genom att förbättra styrningen av bolag höjs säkerheten att investera för både inhemska och utländska intressenter vilket leder till att svenskt näringsliv kan expandera och få mer inflytande. För att självreglering ska fungera krävs en gemensam värdegrund. Kodgruppen har arbetat med att ta fram en passande sådan. Värdegrunden innefattar att: # Utveckla goda förutsättningar för en aktiv ägarroll # Skapa en avvägd maktbalans mellan ägare, styrelse och ledning # Skapa en rollfördelning mellan ledning och kontrollorganen # Värna om att aktiebolagslagen likabehandlingsprincip efterföljs # Skapa transparens gentemot ägare, kapitalmarknad och samhället Grunden för svensk bolagsstyrning utgörs av Aktiebolagslagen. Vissa av rekommendationerna i Koden är satta på en hög nivå men i de fall företag inte kan uppnå enskilda punkter kan de då motivera detta enligt principen följa eller förklara. Detta betyder att om avvikelser från rekommendationer finns ska företaget ange detta och deklarera varför detta har skett. Det är sedan upp till marknaden att avgöra huruvida avvikelserna och förklaringarna är godtagbara. Om de inte anses vara acceptabla får företaget troligen dålig publicitet och det finns risk för att trovärdigheten minskar Ägarroll och ansvar För att en marknadsekonomi ska fungera krävs att tilltro finns för företagen och att investeringar i dessa därför kan ske. Aktieägare ansvarar för att företag ska kunna skapa ett eget kapital och kräver då i utbyte att de kan placera sina pengar utan större risk för bedrägeri och oegentligheter. Utan aktieägare skulle vissa företag inte kunna expandera vilket leder till att de även vill ha inflytande i bolaget. Genom att delta vid bolagsstämman får ägarna 18

23 möjlighet att påverka bolagets beslut etc. Denna konstellation av spritt ägarskap bidrar starkt till en fungerande marknad. Ägarna bör dock i stor mån delta vid bolagsstämman för att få möjlighet att utöva sitt inflytande i bolaget. Stora ägare är skyldiga att använda sitt inflytande på ett sunt sätt så att företagets bästa ligger i fokus. Genom att ha denna fördelning uppstår en bra maktbalans mellan ägare, styrelse och ledning Regler för bolagsstyrning Nedan kommer en förklaring att skildras av de mer ingående och viktigare reglerna. Dessa delar är hämtade från Svensk kod för bolagsstyrning (SOU 2004:46, 2004:130). Styrelsen Styrelsens arbete innefattar ansvaret för förvaltningen och bolagets angelägenheter. Detta arbete ska ske i enlighet med lagar och regler som gäller för företaget. Styrelsen ska utforma en strategi för verksamheten och se till att företaget leds på bästa sätt. Information till intressenter och då främst ägare är också en styrelseuppgift. Rekommendationer och regler innefattas här om bl. a. styrelsens storlek, styrelseordförande, styrelsens finansiella rapportering samt styrelsens interna kontroll. Angående den finansiella rapporteringen ska det anges vilket regelverk som den grundas på. Styrelse och VD ska även ange att de är medvetna om att årsredovisningen är upprättad i enlighet med god redovisningssed och att den information som lämnats stämmer med verkligheten samt att inget väsentligt har utelämnats. Styrelsen och intern kontroll Koden beskriver att styrelsen är ansvarig för den interna kontrollen vars viktigaste syfte är att skydda ägarnas investeringar samt bolagets tillgångar. Styrelsen ska utforma system för intern kontroll samt konstant uppdateras på hur den fungerar. I en bilaga till årsredovisningen ska information anges om bolagets interna kontroll samt hur övervakningen av denna har skett. Styrelsen ska rapportera hur den finansiella rapporteringen är organiserad och hur bra den har fungerat under året. De bolag som inte har en särskild granskning av intern kontroll ska motivera varför. Det måste även ske en årlig kontroll av behovet för en sådan och i rapporten ska styrelsens ställningstagande till det anges. Även en särskild upplysning om att kvaliteten har säkerställts gällande den interna kontrollen måste lämnas. Sedan är den externa revisorn skyldig att avge en särskild granskningsberättelse om hur denna rapport är utformad och efterföljd. I rapporten ska även anges hur väl kommunikationen har fungerat mellan styrelsen 19

24 och revisorn. Bolagsledningen behöver inte uttala sig om den interna kontrollen för 2005 och revisorn måste först granska och uttala sig för räkenskapsåret 2006 (FAR Info, nr ). Bolagsledningen styrs av den verkställande direktören som också är ytterst ansvarig för den löpande förvaltningen. Styrelsen sätter upp riktlinjer för att se till att bokföringen och medelsförvaltningen sker på ett tillfredsställande sätt. Verkställande direktören tillhandahåller utifrån detta styrelsen med den information de behöver för att utöva sitt arbete för företagets bästa. Revisorer Räkenskaperna samt VD:s och styrelsens förvaltning ska granskas av de externa revisorerna enligt god revisionssed. Den utvalde revisorn ska avlämna en särskild granskningsberättelse över styrelsens rapport om den interna kontrollen. I bilagan till årsredovisningen ska enligt Koden även information om vem revisorn är finnas samt en utvärdering om hur revisionsarbetet skett. Information om bolagsstyrning I årsredovisningen ska en särskild rapport bifogas om bolagsstyrningsfrågor. En sammanställning av Kodens krav på särskild information ska anges i bilagor om den inte finns med i själva årsredovisningen. Det ska där anges översiktligt hur Koden har tillämpats samt eventuella avvikelser ifrån den. Anledning till avvikelse måste anges tydligt samt en beskrivning var avvikelsen finns måste uppges. Även på bolagets hemsida ska en särskild avdelning för bolagsfrågor vara tillgänglig med information enligt Koden. Denna information måste ständigt vara aktuell COSO-Modellen Både Sarbanes-Oxley Act och Svensk kod för bolagsstyrning kräver att en rapport lämnas över den interna kontrollen i företaget. Redan 1992 arbetade Committee of Sponsoring Organization of the Treadway Commission, COSO, fram ett ramverk för intern kontroll. Detta ramverk har sedan ett antal år tillbaka varit internationellt accepterat (FAR info, nr ). Ramverket är upparbetat för att etablera intern kontroll som ska skapa effektivitet, minimera risker, hjälpa till att skapa försäkran att rapporterna är riktiga samt efterfölja lagar och normer. COSO-modellen används världen över för att den anses relativt okomplicerad och effektiv att 20

25 använda. (Trish, 2005) I och med att SOX och Koden har börjat tillämpas har fokus på intern kontroll blivit ännu större samt att företag lägger ner större finansiell satsning än tidigare. Innan var mindre företag i USA mycket mer restriktiva med att satsa på intern kontroll eftersom de har mindre monetära resurser och färre medarbetare. I detta avseende har COSO utarbetat riktlinjer inom intern kontroll för mindre börsnoterade företag, dock är dessa tillämpbara för alla storlekar på företag. (Trish, 2005, s.1) COSO:s huvudsyfte liksom andra modeller om intern kontroll är att skapa försäkran att rapporterna stämmer samt att genomföra uppgifterna så effektivt som möjligt med utgångspunkt i lämpliga lagar (Geiger et al, 2004, s.28) Riskhantering Alla företag har olika risker och osäkerheter. En stor utmaning för ledningen och styrelsen är därför att avgöra hur mycket osäkerhet som är accepterbart för att ägarna ändå ska kunna få avkastning på sitt satsade kapital. Osäkerhet skapar både en risk men även en möjlighet att skapa värde. Riskhanteringsprocessen möjliggör för ledningen att kunna hantera dessa osäkerheter effektivare. Riskhantering omfattar flera olika delar som alla anses relevanta för att kunna uppnå en optimal risknivå. Ledningen sätter vissa strategiska och operationella mål samt utvecklar system som kan ta hand om eventuella risker inom dessa. Riskhantering förser ledningen med olika sätt hur risker kan elimineras t.ex. måste vissa risker helt tas bort medan andra kan accepteras till viss del. Företag kan lära sig att identifiera kommande händelser och utveckla system för att minska oönskade överraskningar. Riskhantering kan även bidra till att ta tillvara på positiva överraskningar som kan vara till stor nytta för företaget. Kapitalplacering och överföring kan lättare genomföras effektivt om riskhanteringen inom företaget fungerar optimalt. Riskhanteringsprocessen bör vara konstant och genomsyra hela företaget och därmed informera medarbetare på alla nivåer vad målet med processen är. Även mervärde för ägarna skapas i och med processen. (COSO, 2004, s.1-6) COSO:s riskhanteringsmodell bygger på fem huvudkomponenter inom intern kontroll: 8 1. Kontrollmiljö Den interna miljön visar på hur ledningen och styrelsen ser på risk och hur olika risker hanteras. Företagets värderingar och mål speglar hur risk också behandlas. Företagsmålen måste bestämmas innan ledningen kan identifiera vissa 8 Svensk översättning till COSO - Svenskt Näringsliv, 2005, s.11 21

26 händelser som påverkar dessa mål. Riskhanteringsprocessen innefattar att ledningen har vissa kriterier att sätta mål efter som överensstämmer med hur företaget i helhet vill bli uppfattat. Interna och externa händelser som påverkar utförandet av ett företags mål måste identifieras och kunna separeras som risk och möjlighet. De som urskiljs som möjligheter leds tillbaka till ledningen för att kunna omarbetas. 2. Riskbedömning Risker analyseras där man ser till hur troligt det är att de inträffar samt vilken påverkan de i så fall får samt hur man ska hantera dem. De viktigaste delarna för att uppnå en accepterbar risknivå är att förstå relevansen hos de finansiella målen, kunna identifiera och analysera riskerna vid rapporteringen av dessa samt kunna hantera eventuella bedrägeririsker. Ledningen och styrelsen beslutar angående hur risker ska hanteras. Det kan göras genom att undvika, acceptera, reducera och dela upp riskerna. Ledningen bör även utarbeta en handlingsplan för att synkronisera risker med företagets generella risktolerans. 3. Kontroll aktiviteter Företagspolicy och kontrollsystem framställs för att se till att riskhantering sker så effektivt som möjligt. Dessa kontrollaktiviteter bör utföras i hela företaget på alla nivåer samt alla system som t.ex. informationssystem, verifikationshantering, behörigt godkännande av affärstransaktioner och redovisningsprocessen. För att det ska bli så optimalt som möjligt bör beslutsfattande och kommunikation ligga i fokus. Kontrollaktiviteterna bör genomföras både manuellt och databaserat. 4. Information och Kommunikation Relevant information identifieras och kommuniceras enligt en tidsram som ska hjälpa medarbetare att lättare veta vilka deras ansvarsområden är. Att använda IT har hjälpt många organisationer att kunna standardisera vissa kanaler av information. 5. Uppföljning Riskhanteringsprocessen övervakas och modifieras om detta anses vara nödvändigt. Övervakningen sker konstant, vid enskilda tillfällen eller en kombination av de båda. (COSO, 2004, s. 3-4; COSO, 2005, s. 2; FAR; KPMG, webbplats; Messier, 2006, s ; Trish, 2005) 22

27 Figur 3: SOX Online, webbplats De fem komponenterna har senare utökats till att bli åtta stycken där vissa av delarna har utvecklats. Den utökade modellen är förhållandevis ny och de svenska företagen som har börjat tillämpa internkontroll efter modellen har inte kommit så långt i processen. Komponenterna måste integreras med varandra för att fungera som ett system för intern kontroll. De måste även genomsyra hela verksamheten och alla nivåer inom företaget. COSOmodellen fokuserar på värderingar, effektiva interna kontroller samt bolagsstyrning där dessa delar ska integreras med den finansiella rapporteringen, lagar och de fem komponenterna. När den förståelsen och processen har kommit så pass långt fungerar COSO optimalt. COSO har vuxit till att bli en av de mest använda modellerna när det kommer till intern kontroll. Dock har viss kritik inkommit mot modellen. Vissa anser att modellen är en bred principbaserad modell som inte är särskilt fokuserad på just intern kontroll samt att den kan vara för komplicerad främst för små företag. Trots detta är delarna i matrisen direkt hänförbara till rekommendationen om hur SOX:s sektion 404 om intern kontroll bör följas samt FAR:s och Svenskt Näringslivs vägledning från Koden om hur styrelsens rapport om intern kontroll bör utformas (Svenskt Näringsliv, webbplats, 2005; Thorell, Molin, 2006, s.20). Motståndare till kritiken hävdar att Sarbanes-Oxley Act faktiskt bygger på COSO liksom många andra rekommendationer och lagar (Shaw, 2006, s.74 ff.). 23